去年6月，Cloudflare推出Sandboxes時，行業(yè)還沒反應(yīng)過來這意味著什么。12個月后，F(xiàn)igma的AI代碼生成工具Figma Make已經(jīng)跑在上面，處理著"不受信任的代理和用戶編寫的代碼"。

這不是邊緣計算的老故事，而是AI代理第一次擁有了真正屬于自己的電腦。

一個被低估的 premise：代理需要開發(fā)環(huán)境

Cloudflare的出發(fā)點(diǎn)是樸素的觀察：AI代理如果要像開發(fā)者一樣工作——克隆倉庫、多語言構(gòu)建、跑開發(fā)服務(wù)器——就需要一臺完整的電腦。不是函數(shù)計算那種閹割版，是真的能裝依賴、能跑Node、能起Python解釋器的環(huán)境。

但自建這套東西的工程師很快會撞上五堵墻。

突發(fā)性（Burstiness）是第一道坎。每個會話都要獨(dú)立沙盒，意味著瞬間可能要拉起幾十個實(shí)例，但 standby 的閑置算力賬單沒人想付。快速狀態(tài)恢復(fù)是第二道——會話得秒開，還得能回到上次離開的地方。安全是第三道，代理要調(diào)用服務(wù)，但絕不能碰憑證。控制粒度是第四道，生命周期、命令執(zhí)行、文件操作都得程序化。人機(jī)交互的 ergonomics 是第五道，人和代理都要能簡單上手。

Cloudflare把這五件事打包解決了。現(xiàn)在Sandboxes和底層支撐的Cloudflare Containers一起正式GA（General Availability，全面可用）。

安全憑證注入：代理看不見鑰匙，卻能開門

最反直覺的設(shè)計是Secure credential injection。代理需要調(diào)用第三方API，但把API key塞進(jìn)prompt或環(huán)境變量等于開門揖盜。Cloudflare的做法是：憑證由基礎(chǔ)設(shè)施層注入，代理發(fā)起請求時自動附加認(rèn)證，但代理本身永遠(yuǎn)接觸不到明文憑證。

這有點(diǎn)像酒店房卡系統(tǒng)——你能開門，但復(fù)制不了鑰匙的物理結(jié)構(gòu)。對多租戶場景尤其關(guān)鍵，一個代理的prompt注入攻擊不會波及同一沙盒集群的其他實(shí)例。

Figma的Alex Mullans在合作反饋里提到，他們需要"可靠、高度可擴(kuò)展的沙盒來運(yùn)行不受信任的代碼"。這個"不受信任"的定語，正是憑證隔離方案要回答的核心問題。

PTY和持久解釋器：給代理一雙手，而不是一張嘴

PTY（Pseudo-Terminal，偽終端）支持讓代理擁有了真正的終端會話。這不是花哨功能——很多開發(fā)任務(wù)需要交互式shell：確認(rèn)覆蓋文件、處理sudo提示、跑需要TTY的CLI工具。沒有PTY，代理遇到交互式提示會直接卡死。

Persistent code interpreters則是另一塊拼圖。Python、JavaScript、TypeScript的解釋器狀態(tài)可以跨請求保留，代理不需要每次重新加載依賴、重新初始化上下文。對于需要多輪迭代的代碼生成任務(wù)，這直接決定了響應(yīng)延遲是秒級還是分鐘級。

Background processes和live preview URLs的組合更實(shí)用。代理起的開發(fā)服務(wù)器不會隨請求結(jié)束被殺死，外部可以通過URL實(shí)時查看效果。Filesystem watching讓代理修改代碼后，依賴的構(gòu)建流程能自動觸發(fā)。Snapshots則允許把某個會話狀態(tài)凍結(jié)，下次從精確位置恢復(fù)——相當(dāng)于給代理的工作區(qū)做git commit，但粒度更細(xì)、速度更快。

Active CPU Pricing：只為你真正燒掉的硅付費(fèi)

計費(fèi)模式的調(diào)整可能是最被低估的更新。傳統(tǒng)容器方案按分配資源計費(fèi)，沙盒idle時也收錢。Cloudflare改為Active CPU Pricing——只有CPU真正在執(zhí)行指令時才計費(fèi)，內(nèi)存保留和磁盤狀態(tài)的成本被壓到極低。

這對代理工作負(fù)載的匹配度很高。代理的思考-執(zhí)行周期天然不連續(xù)：讀代碼、寫代碼、等構(gòu)建、等測試，中間有大量空檔。按活躍CPU計費(fèi)，相當(dāng)于把"突發(fā)性"從成本劣勢變成了架構(gòu)優(yōu)勢。

Higher limits的放開則意味著可以部署"fleet of agents"——代理艦隊。單個賬戶能同時運(yùn)行的沙盒數(shù)量上限提升，配合自動休眠/喚醒，理論上可以支撐數(shù)千個并發(fā)會話而無需預(yù)置容量。

GA之后：沙盒成為代理的基礎(chǔ)設(shè)施默認(rèn)選項(xiàng)？

從Figma Make的案例往回看，Sandboxes的定位逐漸清晰。它不是給人類開發(fā)者用的遠(yuǎn)程IDE——雖然也能這么用——而是專門為AI代理設(shè)計的計算原語。

這個區(qū)分很重要。人類開發(fā)者需要持久化 home 目錄、個性化配置、SSH密鑰管理；代理需要快速克隆、確定性環(huán)境、無狀態(tài)恢復(fù)、嚴(yán)格隔離。Cloudflare的選擇是優(yōu)先滿足后者，同時用PTY和預(yù)覽URL保留必要的人機(jī)協(xié)作界面。

一個開放的問題是：當(dāng)多個代理需要協(xié)作完成復(fù)雜任務(wù)時，Sandboxes的隔離性會不會成為阻礙？Cloudflare目前的答案是snapshots和快速啟動——代理A保存狀態(tài)，代理B基于該快照啟動——但這和真正的進(jìn)程間通信還有距離。

Figma Make已經(jīng)跑通的路徑，其他代碼生成工具會跟嗎？